легкое решение сложной задачи

ДМИТРИЙ РЫЖАВСКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-072-1

СИСТЕМНЫЙ ИНЖЕНЕР CISCO SYSTEMS

EASY VPN

РОСТ ЧИСЛА НАДОМНЫХ РАБОТНИКОВ И ВОЗРОСШАЯ МОБИЛЬНОСТЬ ПОЛЬЗОВАТЕЛЕЙ ВСЕ ЧАЩЕ СТАВЯТ ПЕРЕД НЕБОЛЬШИМИ КОМПАНИЯ ЗАДАЧУ ОБЕСПЕЧЕНИЯ УДАЛЕННОГО ДОСТУПА К КОРПОРАТИВНЫМ РЕСУРСАМ (REMOTE ACCESS VPN). А ПОВСЕМЕСТНОЕ РАСПРОСТРАНЕНИЕ НЕДОРОГОГО ШИРОКОПОЛОСНОГО ДОСТУПА ПО ТЕХНОЛОГИЯМ DSL, WIFI И ETHERNET СОЗДАЕТ ВСЕ УСЛОВИЯ ДЛЯ ТОГО, ЧТОБЫ УДАЛЕННЫЙ ДОСТУП СТАЛ РЕАЛЬНОСТЬЮ

Цель состоит в том, чтобы обеспечить одинаковый уровень производительности и безопасности при работе с критически важными приложениями для всех сотрудников компании, независимо от того, находятся они в головном офисе или в филиалах, работают дома или в пути. В первую очередь, это требует обеспечения защиты данных, передаваемых по открытым каналам связи (например, через интернет). Сохранение конфиденциальности и целостности данных является обязательным элементом современных бизнес-приложений. Это требование достигается за счет стратегии Cisco Secure Connectivity System, которая, используя механизмы шифрования и аутентификации, одинаково эффективно защищает данные, голос и видео, передаваемые как по проводным, так и по беспроводным соединениям. Составной частью Secure Connectivity System являются такие технологии, как IPSec, Easy VPN, SSL, SSH, GRE и MPLS.

Работу любой технологии, обеспечивающей защищенную передачу данных через неподконтрольную, а потому всегда потенциально опасную среду, можно условно разделить на две фазы. Первая фаза представляет собой установление соединения с обязательной проверкой подлинности взаимодействующих сторон (аутентификацию), применением политик безопасности (авторизацию) и установлением ключей шифрования для второй фазы. На второй фазе происходит непосредственно передача зашифрованных ранее установленными ключами данных, целостность (неизменность) которых обязательно проверяется при приеме.

[первая фаза на примере технологии IPSec Easy VPN.]

Перед тем, как пользователь сможет передавать зашифрованные данные в удаленную сеть, он должен осуществить процесс подключения. При этом происходит процедура аутентификации, во время которой пользователь должен подтвердить, что он именно тот, за кого себя выдает, и действительно имеет право произвести удаленное подключение. Аналогом этого процесса из реальной жизни является предъявление паспорта сотруднику банка. В IPSec VPN сетях для аутентификации удаленных пользователей может использоваться заранее заданное на клиентских устройствах и сервере секретное значение (ключ), цифровые сертификаты формата x.509, основанные на использовании технологий цифровой подписи, групповые и персональные имена пользователей и пароли, а так же различные комбинации этих методов.

В настоящее время наиболее защищенным способом аутентификации является использование цифровых сертификатов. Аутентификация с использованием цифровых сертификатов не подвержена наиболее совершенному методу атак «man in the middle» (MITM, человек посередине). Суть этого метода состоит в том, что злоумышленник некоторым образом получает возможность пропустить через себя весь трафик между двумя взаимодействующими устройствами. При этом он выступает в качестве своеобразного proxy-сервера, который может выборочно пропускать через себя трафик легитимных устройств, подменяя часть данных на собственные. Из перечисленных методов только использование цифровых сертификатов позволяет полностью исключить возможность успешного проведения подобного типа атак. Но для того, чтобы использовать цифровые сертификаты, в сети обязательно должен присутствовать сервер цифровых сертификатов (Certification Authority).